Bagikan melalui


Memulai - Penilaian Sesuai Permintaan Azure Active Directory

Penilaian Sesuai Permintaan - Azure Active Directory (AD) adalah layanan cloud yang menganalisis dan menyediakan panduan manajemen identitas dan akses (IAM) untuk Azure AD dan komponen terkait. Analisis menghasilkan daftar rekomendasi untuk ditangani dengan panduan remediasi dan praktik terbaik untuk meningkatkan kesehatan dan keamanan sumber daya Azure. Selain itu, penilaian mengidentifikasi fitur yang dapat diaktifkan untuk memperluas kemampuan Microsoft Azure AD. Penilaian tersedia melalui Services Hub untuk membantu mengoptimalkan ketersediaan, keamanan, dan performa investasi teknologi Microsoft. Penilaian ini menggunakan Microsoft Azure Log Analytics, yang dirancang untuk menyederhanakan manajemen TI dan keamanan di seluruh lingkungan.

Penilaian ini dirancang untuk memberikan panduan tertentu yang dapat ditindaklanjuti yang dikelompokkan di area fokus untuk mengurangi risiko terhadap Azure Active Directory dan organisasi.

Pilar utama Penilaian Microsoft Azure AD:

  • Pengelolaan Identitas dan Akses
  • Pemerintahan
  • Operasional
  • Autentikasi
  • Keamanan

Menjalankan Penilaian Azure ACTIVE Directory

Prasyarat

Untuk memanfaatkan sepenuhnya Penilaian Sesuai Permintaan yang tersedia melalui Services Hub, Anda perlu:

  1. Telah menautkan Langganan Azure aktif ke Services Hub dan menambahkan penilaian Azure ACTIVE Directory. Untuk informasi selengkapnya, lihat Mulai Menggunakan Penilaian Sesuai Permintaan atau tonton video cara menautkan.

  2. Memiliki akun tugas terjadwal penilaian (domain atau pengguna lokal) dengan hak berikut:

    • Akses administratif ke komputer pengumpulan data
    • Masuk sebagai hak istimewa pekerjaan batch pada komputer pengumpulan data
  3. Memiliki akun Microsoft Azure ACTIVE Directory untuk penyiapan aplikasi terdaftar Microsoft Azure AD dengan properti berikut:

    • Administrator Global
    • Non-federasi
  4. Tinjau Prasyarat Penilaian Azure ACTIVE Directory. Dokumen ini menjelaskan dokumentasi teknis terperinci dari Penilaian Microsoft Azure AD dan persiapan server yang diperlukan untuk menjalankan penilaian. Ini juga mendkumentasikan berbagai jenis data yang dikumpulkan oleh penilaian.

Catatan

Rata-rata, dibutuhkan dua jam untuk mengonfigurasi lingkungan Anda untuk menjalankan Penilaian Sesuai Permintaan. Setelah menjalankan penilaian, Anda dapat meninjau data di Azure Log Analytics. Data ini memberi Anda daftar rekomendasi yang diprioritaskan, dikategorikan di enam area fokus. Daftar ini memungkinkan Anda dan tim Anda untuk dengan cepat memahami tingkat risiko, kesehatan lingkungan Anda, bertindak untuk mengurangi risiko, dan meningkatkan kesehatan IT Anda secara keseluruhan.

Menyiapkan Penilaian Microsoft Azure AD pada komputer pengumpulan data

Catatan

Anda hanya dapat berhasil menyiapkan penilaian setelah menautkan Langganan Azure ke Services Hub dan menambahkan Penilaian Azure AD dari Kesehatan IT -> Penilaian Sesuai Permintaan di Services Hub.

Mendaftarkan aplikasi Penilaian Microsoft di penyewa Azure AD dalam cakupan

  1. Pada komputer pengumpulan data Anda, buat folder berikut: C:\OMS\AzureAD (atau folder lain yang Anda inginkan).

  2. Buka PowerShell reguler (bukan ISE) dalam mode Administrator dan jalankan cmdlet berikut untuk membuat aplikasi terdaftar di penyewa Microsoft Azure AD yang sedang dinilai:

     New-MicrosoftAssessmentsApplication
    

    Catatan

    Jika perintah New-MicrosoftAssessmentsApplication tidak tersedia, modul belum ditemukan. Ini bisa memakan waktu setelah menginstal agen sebelum muncul.

  3. Berikan kredensial akun Azure ACTIVE Directory yang diperlukan yang memenuhi persyaratan yang disebutkan dalam artikel ini sebelumnya. Pilih "Terima" pada permintaan persetujuan admin untuk izin baca yang diperlukan aplikasi ini untuk penilaian.

    Catatan

    Untuk detail persetujuan, lihat Izin untuk Aplikasi Penilaian Microsoft Azure AD.

Membuat tugas terjadwal penilaian

  1. Buka PowerShell reguler (bukan ISE) dalam mode Administrator dan jalankan cmdlet berikut menggunakan parameter berikut, ganti <Direktori> dan <AccountName> dengan direktori kerja penilaian, dan nama akun tugas terjadwal penilaian:

    Penting

    Jangan gunakan C:\ODA sebagai jalur direktori kerja, karena dicadangkan oleh sistem!

     Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
    

    WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

    Workspace Id – provides ID for the Log Analytics workspace that will be used to store the uploaded data

    Catatan

    Jika perintah Add-AzureAssessmentTask tidak tersedia, modul belum ditemukan. Ini bisa memakan waktu setelah menginstal agen sebelum muncul.

  2. Skrip berlanjut dengan konfigurasi yang diperlukan dan membuat tugas terjadwal yang memicu pengumpulan data.

  3. Pengumpulan data dipicu oleh tugas terjadwal bernama AzureAssessment dalam waktu satu jam setelah Anda menjalankan skrip sebelumnya, lalu sekali lagi setiap tujuh hari. Anda dapat mengubah tugas untuk dijalankan pada tanggal/waktu yang berbeda, atau bahkan memaksanya untuk segera berjalan dengan menavigasi ke pustaka penjadwal tugas -> Microsoft -> Operations Management Suite -> AOI*** -> Penilaian -> AzureAssessment.

Eksekusi penilaian

Selama pengumpulan dan analisis, data untuk sementara disimpan di bawah folder Direktori Kerja yang dikonfigurasi selama penyiapan.

Setelah beberapa jam, hasil penilaian Anda akan tersedia di Log Analytics dan Services Hub Anda.

Anda dapat menavigasi untuk melihat hasilnya dengan masuk ke Services Hub -> Health -> Assessments lalu memilih "Lihat semua rekomendasi" dalam penilaian aktif.

Jika Anda ingin mendapatkan Insinyur Terakreditasi Microsoft untuk mengatasi masalah tentang Penilaian Microsoft Azure ACTIVE Directory dengan Anda, Anda dapat menghubungi Perwakilan Microsoft Anda dan bertanya kepada mereka tentang pengiriman yang dipimpin CSA Jarak Jauh atau Di Tempat.

Perjanjian Insinyur Jarak Jauh Teknisi Onsite
Premier Lembar Data Jarak Jauh Azure AD Lembar Data Azure AD Onsite
Terpadu Lembar Data Jarak Jauh Azure AD Lembar Data Azure AD Onsite